Las cuatro mayores operadoras de telecomunicaciones de Singapur (Singtel, StarHub, M1 y Simba) fueron objetivo de hackers alineados con el Estado chino, rastreados como UNC3886, según un comunicado de la Agencia de Seguridad Cibernética de Singapur (CSA).
Las intrusiones ocurrieron al menos una vez en 2025, y aunque los atacantes lograron acceder de forma limitada a sistemas críticos, no se robaron datos de clientes y los servicios permanecieron sin interrupciones.
¿Cómo ocurrió este ataque?
Se informa que UNC3886 explotó una vulnerabilidad de día cero para evadir los firewalls perimetrales de una telco. Los atacantes utilizaron rootkits para mantener sigilo y persistencia durante un período no revelado.
El grupo es conocido por atacar telecomunicaciones, gobierno y empresas tecnológicas, aprovechando vulnerabilidades en firewalls FortiGate, servidores VMware ESXi y VMware vCenter.
A pesar de las brechas, CSA confirmó que los atacantes no pudieron moverse lo suficiente para interrumpir operaciones ni robar información sensible de clientes.
Respuesta de Singapur
En respuesta, Singapur desplegó la Operación Cyber Guardian para contener las intrusiones:
- Respuesta inmediata cerró puntos de acceso y amplió la supervisión.
- Más de 100 investigadores de seis agencias gubernamentales participaron.
- Los esfuerzos bloquearon el posible movimiento lateral hacia sectores bancario, transporte y salud.
La ministra de Desarrollo Digital e Información, Josephine Teo, enfatizó:
“Esto no es motivo de celebración, sino un recordatorio de que el trabajo de los defensores cibernéticos importa.”
Antecedentes de UNC3886
- Rastreado por Mandiant desde 2023.
- Conocido por explotar vulnerabilidades de día cero en FortiGate, VMware ESXi y servidores vCenter.
- Operaciones previas incluyen brechas a proveedores de internet en EE. UU. y telcos canadienses.